Proteção de Dados: Temas Controvertidos - Vol 2

De Ana Paula Motta Costa, Caitlin Mulholland, Camila Nienow e mais 17

"Pois aqui, nesta obra plural, costurada em vários alinhavos afetivos, que ora vem à estampa, ainda que sob o recorte jurídico, percebe-se a interdisciplinaridade da temática acerca da realidade engendrada a partir dos dados e, desta forma, trata do seu resguardo ainda em construção no panorama nacional. Os artigos foram assomados, forjando, de modo geral, uma tessitura totalmente distinta do primeiro volume à medida em que não se tem apenas uma atualização, mas, principalmente, há um alargamento das perspectivas e um alinhamento de outros enfoques em um aprofundamento compatível com o que já se passou ao longo dos últimos anos.

Sem mais, cabe aos organizadores agradecer profundamente aos ilustres professores, professoras, juristas, intelectuais de primeira grandeza, que aceitaram participar do volume dois dessa obra, ao tempo em que oferecem ao público leitor importantes reflexões sobre uma matéria de grande valor que marca a existência humana no século XXI, apontando e projetando um futuro não muito distante. Agradece-se, igualmente, à Editora FOCO e sua equipe, na pessoa da Doutora Roberta Densa, pela sensibilidade de compreender a relevância dos artigos publicados neste segundo volume dedicado à temática da proteção de dados e suas implicações na vida contemporânea.

Trata-se, de fato, de um esforço acadêmico em que, a partir da confiança na conjugação de diversos saberes, intenta-se contribuir mais uma vez para o debate que se projeta como um dos mais elementares para a reafirmação dos corolários do Estado democrático de Direito, vez que se proporciona uma prognose e, como já se mencionou, apresenta algumas perspectivas de futuro em que os direitos humanos e fundamentais se confirmam como as ferramentas irrenunciáveis para a proteção multinível da pessoa humana, dentro e fora do mundo digital".

• Idioma: Português
• Editora: Editora Foco
• Data de lançamento: 12 de abr. de 2024
• ISBN: 9786561200660

Pré-visualização do livro

Proteção de dados, temas controvertidos. Coordenadores, Gabrielle Bezerra Sales Sarlet, Manoel Gustavo Neubarth Trindade, Plínio Melgaré. Editora Foco.

Dados Internacionais de Catalogação na Publicação (CIP) de acordo com ISBD

P967

Proteção de dados [recurso eletrônico] : temas controvertidos / Ana Paula Motta Costa ... [et al.] ; coordenado por Gabrielle Bezerra Sales Sarlet, Manoel Gustavo Neubarth Trindade, Plínio Melgaré. - Indaiatuba, SP : Editora Foco, 2024.

272 p. ; ePUB. – (vol.2)

Inclui índice e bibliografia.

ISBN: 978-65-6120-066-0 (Ebook)

1. Direito. 2. Direito digital. 3. Proteção de dados. I. Costa, Ana Paula Motta. II. Mulholland, Caitlin. III. Nienow, Camila. IV. Colombo, Cristiano. V. Facchini Neto, Eugênio. VI. Menke, Fabiano. VII. Sarlet, Gabrielle Bezerra Sales. VIII. Goulart, Guilherme Damasio. IX. Costa, Guilherme Spillari. X. Faleiros Júnior, José Luiz de Moura. XI. Trindade Manoel Gustavo Neubarth. XII. Fogaça, Mariana. XIII. Silveira, Marília Ferrão da. XIV. Leal, Martha. XV. Melgaré, Plínio. XVI. Calaza, Tales. XVII. Bortolini, Vanessa Schmidt. XVIII. Gomes, Maria Cecília Oliveira. XIX. Gouvea, Thaianny Estefanato. XX. Viegas, João Ricardo Bet. XXI. Título.

2024-676 CDD 340.0285 CDU 34:004

Elaborado por Vagner Rodolfo da Silva - CRB-8/9410

Índices para Catálogo Sistemático:

1. Direito digital 340.0285

2. Direito digital 34:004

Proteção de dados, temas controvertidos. Coordenadores, Gabrielle Bezerra Sales Sarlet, Manoel Gustavo Neubarth Trindade, Plínio Melgaré. Editora Foco.

2024 © Editora Foco

Coordenadores: Gabrielle Bezerra Sales Sarlet, Manoel Gustavo Neubarth Trindade e Plínio Melgaré

Autores: Ana Paula Motta Costa, Caitlin Mulholland, Camila Nienow, Cristiano Colombo, Eugênio Facchini Neto, Fabiano Menke, Gabrielle Bezerra Sales Sarlet, Guilherme Damasio Goulart, Guilherme Spillari Costa, João Ricardo Bet Viegas, José Luiz de Moura Faleiros Júnior, Manoel Gustavo Neubarth Trindade, Maria Cecília Oliveira Gomes, Mariana Fogaça, Marília Ferrão da Silveira, Martha Leal, Plínio Melgaré, Tales Calaza, Thaianny Estefanato Gouvea e Vanessa Schmidt Bortolini

Diretor Acadêmico: Leonardo Pereira

Editor: Roberta Densa

Assistente Editorial: Paula Morishita

Revisora Sênior: Georgia Renata Dias

Capa Criação: Leonardo Hermano

Diagramação: Ladislau Lima e Aparecida Lima

Produção ePub: Booknando

DIREITOS AUTORAIS: É proibida a reprodução parcial ou total desta publicação, por qualquer forma ou meio, sem a prévia autorização da Editora FOCO, com exceção do teor das questões de concursos públicos que, por serem atos oficiais, não são protegidas como Direitos Autorais, na forma do Artigo 8º, IV, da Lei 9.610/1998. Referida vedação se estende às características gráficas da obra e sua editoração. A punição para a violação dos Direitos Autorais é crime previsto no Artigo 184 do Código Penal e as sanções civis às violações dos Direitos Autorais estão previstas nos Artigos 101 a 110 da Lei 9.610/1998. Os comentários das questões são de responsabilidade dos autores.

NOTAS DA EDITORA:

Atualizações e erratas: A presente obra é vendida como está, atualizada até a data do seu fechamento, informação que consta na página II do livro. Havendo a publicação de legislação de suma relevância, a editora, de forma discricionária, se empenhará em disponibilizar atualização futura.

Erratas: A Editora se compromete a disponibilizar no site www.editorafoco.com.br, na seção Atualizações, eventuais erratas por razões de erros técnicos ou de conteúdo. Solicitamos, outrossim, que o leitor faça a gentileza de colaborar com a perfeição da obra, comunicando eventual erro encontrado por meio de mensagem para contato@editorafoco.com.br. O acesso será disponibilizado durante a vigência da edição da obra.

Data de Fechamento (4.2024)

2024

Todos os direitos reservados à

Editora Foco Jurídico Ltda.

Avenida Itororó, 348 – Sala 05 – Cidade Nova

CEP 13334-050 – Indaiatuba – SP

E-mail: contato@editorafoco.com.br

www.editorafoco.com.br

Sumário

APRESENTAÇÃO

DADOS PESSOAIS SENSÍVEIS E A TUTELA DE DIREITOS FUNDAMENTAIS: UMA ANÁLISE À LUZ DA LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS (LEI 13.709/2018)

Caitlin Mulholland

A INFLUÊNCIA DAS BINDING CORPORATE RULES DA UNIÃO EUROPEIA E AS PERSPECTIVAS PARA A REGULAMENTAÇÃO DAS NORMAS CORPORATIVAS GLOBAIS NO BRASIL

Camila Nienow e Mariana Fogaça

INTELIGÊNCIA ARTIFICIAL EM SOFTWARES QUE EMULAM PERFIS DE FALECIDOS E DADOS PESSOAIS DE MORTOS

Cristiano Colombo e Guilherme Damasio Goulart

LIMITES À PROTEÇÃO DE DADOS: DRAGNET SURVEILLANCE E O CASO MARIELLE FRANCO, DE ACORDO COM A ORIENTAÇÃO DO STJ

Eugênio Facchini Neto

SPIROS SIMITIS E A PRIMEIRA LEI DE PROTEÇÃO DE DADOS DO MUNDO

Fabiano Menke

A PROTEÇÃO DE DADOS PESSOAIS E OS DIREITOS DAS CRIANÇAS E DOS ADOLESCENTES NO SISTEMA NORMATIVO BRASILEIRO

Ana Paula Motta Costa e Gabrielle Bezerra Sales Sarlet

AS HIPÓTESES LEGAIS DE TRATAMENTO DE DADOS SENSÍVEIS PELO SEGURADOR NA FORMAÇÃO DO CONTRATO DE SEGURO

Guilherme Spillari Costa

INTERNET DAS COISAS E GENERATIVIDADE: COMO TUTELAR OS INTERESSES COLETIVOS SEM LIMITAR A INOVAÇÃO?

Tales Calaza e José Luiz de Moura Faleiros Júnior

TELETRIAGEM E PROTEÇÃO DE DADOS PESSOAIS NA ÁREA DA SAÚDE: DEFINIÇÃO, VIABILIDADE E PRINCIPAIS DESAFIOS

José Luiz de Moura Faleiros Júnior e Vanessa Schmidt Bortolini

A PROTEÇÃO DE DADOS PESSOAIS COMO SALVAGUARDA À ASSIMETRIA INFORMACIONAL NA ERA DA ECONOMIA DE PLATAFORMA

Martha Leal e Manoel Gustavo Neubarth Trindade

O REGIME DE RESPONSABILIDADE CIVIL EM MATÉRIA DE PROTEÇÃO DE DADOS PESSOAIS

Martha Leal

TRATAMENTO DE DADOS, DADOS SENSÍVEIS E CONSENTIMENTO: QUAL DOUTRINA?

Marília Ferrão da Silveira e Plínio Melgaré

INCIDENTES DE SEGURANÇA ENVOLVENDO DADOS PESSOAIS: UMA BREVE ANÁLISE DA COMUNICAÇÃO DE INCIDENTES PARA A ANPD

Maria Cecília Oliveira Gomes e Thaianny Estefanato Gouvea

O TRATAMENTO DE DADOS PESSOAIS SOBRE CRIANÇAS E ADOLESCENTES SOB O FUNDAMENTO DO INTERESSE LEGÍTIMO DO CONTROLADOR OU DE TERCEIRO

João Ricardo Bet Viegas

Pontos de referência

Capa

Sumário

APRESENTAÇÃO

Cinco anos contados da data da promulgaçã

o da Lei Geral de Proteção de Dados (LGPD) frente à ativa atuação da Autoridade Nacional de Proteção de Dados (ANPD), torna-se imprescindível uma parada para, uma vez mais, refletir profunda e afirmativamente sobre os itinerários pátrios em face da sociedade informacional.

Por outro lado, importa admitir que resta o acintoso vácuo da LGPD penal em um panorama de ameaças mais factíveis de violações aos dados neurais, de hiperconexão doméstica e de tecnoentusiasmo, sobretudo no que toca à área da segurança, conjugados ainda pela intensa performance, nem sempre coesa, dos três Poderes na implementação de uma considerável quantidade de políticas públicas para a estruturação do Estado digital em configurações que flertam com a concentração informacional.

Em vista dessa realidade nada alvissareira e da oportunidade do Brasil liderar um amplo polílogo por ocasião das reuniões do G20, amplia-se o foco para compreender que, imersa em uma realidade dataficada, marcada por elevados níveis de desigualdade, de desinformação e de baixos coeficientes educacionais, a sociedade brasileira tem sido marcada cada vez mais por um cenário de vigilância, de tecnoautoritarismo e de tecnocontrole que, sem dúvida alguma, implica urgência em análises lúcidas em torno das molduras jurídicas que ressignifiquem o catálogo de direitos e garantias fundamentais.

De outra banda, inteirando o paradoxo brasileiro, grassa a divisão digital e emergem novos extratos de vulneráveis digitais, particularmente em razão dos equívocos na implementação do 5G, das barreiras estigmatizantes que subsistem no país e das campanhas de desinformação e seus efeitos deletérios à consolidação das conquistas civilizatórias. Agudizando-se, desta feita, a polarização social e a radicalização na política.

Outro aspecto importante que merece ser mencionado diz respeito ao fato de que, mediante a acurácia de ferramentas tecnológicas, jurídicas e sociais mais sensíveis, se identifica melhor as práticas discriminatórias, acarretando a cultura de novos parâmetros jurídicos a fim de garantir dinâmicas emancipatórias de superação e de mitigação de riscos de erosão do tecido social.

Partindo dessa premissa, urge refletir igual e seriamente acerca da discriminação algorítmica e, para tanto, torna-se fulcral aludir que se refere às situações em que algoritmos de módulos de inteligência artificial (IA) perpetuam ou exacerbam preconceitos existentes, contribuindo para a tomada de decisões discriminatórias.

A abordagem crítica, lúcida e necessária das formas de discriminação algorítmica requer a criação e o emprego de instrumentais de governança, ou seja, envolve práticas éticas, auditorias regulares, transparência nos processos de tomada de decisão e esforços contínuos, inclusive legislativos, para corrigir vieses nos bancos de dados e nos algoritmos de IA. Isso se torna central para asseverar que as chamadas novas tecnologias, eminentemente alimentadas por dados, sejam utilizadas de maneira justa, robusta, confiável e equitativa.

Os artigos desta coletânea, assim como no volume um, têm ênfase em um tema não prosaico, cuja relevância se torna exponencial: a proteção de dados pessoais. Tema que se sobressai no cenário mundial, sobretudo, a partir do desenvolvimento e do adensamento no emprego das tecnologias digitais, em especial das aplicações de IA, tanto no âmbito privado quanto público. Inconteste é, e.g., a lacuna nas dimensões que envolvem a proteção de dados sensíveis em contextos que subleva a coleta e o tratamento indevido de dados biométricos e de dados genéticos. Para além disso, não se deve negligenciar a relevância de se instituir uma agenda nacional de proteção de dados que envolva todos os atores, expandindo-se os debates, em uma conjugação de esforços para firmar as práticas de governança algorítmica e de letramento.

A propósito, as estruturas de governança algorítmica visam identificar, abordar, prevenir e mitigar questões/riscos/externalidades que tocam os vieses algorítmicos, a garantia da privacidade dos dados, da segurança, da justiça digital. E, nesse sentido, atuam na salvaguarda da explicabilidade,¹ da interpretabilidade e da transparência dos algoritmos. Alerta-se que, com isto, se intenta, de qualquer sorte, a partir do manejo desses instrumentos, estabelecer diretrizes e mecanismos que assegurem que as decisões tomadas pelos algoritmos de IA sejam justas, transparentes e possam ser compreendidas e auditadas² a fim de se tornarem oponíveis.

Por derradeiro, no argumento da governança algorítmica, é capital considerar a diversidade e a inclusão, garantindo que as soluções algorítmicas sejam equitativas e não engendrem ou perpetuem desigualdades e nem adensem os quadros de injustiça estruturais preexistentes.³

Além disso, basicamente, impende reafirmar que a proteção dos dados pessoais, em especial dos dados sensíveis, relaciona-se diretamente com a previsão e a obrigatoriedade de uso de instrumentos como os relatórios de impacto, bem como envolvem a conformidade com os regulamentos de privacidade e com o catálogo de direitos humanos e fundamentais, confirmando-se como a peça-chave para a garantia da transparência algorítmica e, desta forma, da ampla participação popular.

Por fim, não custa rememorar que, no Brasil, esse tema ganhou especial relevo a partir da decisão do Supremo Tribunal Federal (STF) acerca da MP 954 em que restou reconhecido o direito fundamental autônomo à proteção de dados, concretizando-se a posteriori na promulgação da EC 115 que, alterando o artigo 5º da Constituição Federal, consignou o direito à proteção de dados pessoais, inclusive no meio digital. Pavimentou-se, então, um caminho que, infelizmente, ainda aponta para trilhas nacionais e internacionais desconexas à consolidação de um amálgama de direitos, cuja efetividade se consolide tanto no mundo físico, quanto no virtual.

Diante disso, inegável que a literatura sobre o tema se amplia consideravelmente. No cenário distópico projetado pelas novas tecnologias, há evidentemente uma inevitável provocação no que concerne à urdidura de novas formas de proteção à pessoa humana, vez que se descortinam vulnerabilidades até então ignoradas e, de outra banda, aprofunda-se o fosso da exclusão social e digital enquanto recrudesce o poderio das grandes empresas de tecnologia.

Novas formas de domínio são, destarte, forjadas a partir de uma realidade que se constitui por dados. E o cidadão, por vezes alienado, por vezes desinformado, mais e mais se apercebe absorto em uma inusitada condição existencial fragmentada, ou seja, em uma frenética produção cotidiana de dados econômicos, pessoais, sociais, sanitários que, extraídos, minerados e tratados, produzem um conhecimento imensurável, totalizando a sua identidade, a sua vida, os seus sonhos e o seu patrimônio. Tendo isso em mente, o Direito, como produto da cultura humana, não pode se abster de intervir nessa realidade.

Pois aqui, nesta obra plural, costurada em vários alinhavos afetivos, que ora vem à estampa, ainda que sob o recorte jurídico, percebe-se a interdisciplinaridade da temática acerca da realidade engendrada a partir dos dados e, desta forma, trata do seu resguardo ainda em construção no panorama nacional. Os artigos foram assomados, forjando, de modo geral, uma tessitura totalmente distinta do primeiro volume à medida em que não se tem apenas uma atualização, mas, principalmente, há um alargamento das perspectivas e um alinhamento de outros enfoques em um aprofundamento compatível com o que já se passou ao longo dos últimos anos.

Sem mais, cabe aos organizadores agradecer profundamente aos ilustres professores, professoras, juristas, intelectuais de primeira grandeza, que aceitaram participar do volume dois dessa obra, ao tempo em que oferecem ao público leitor importantes reflexões sobre uma matéria de grande valor que marca a existência humana no século XXI, apontando e projetando um futuro não muito distante. Agradece-se, igualmente, à Editora FOCO e sua equipe, na pessoa da Doutora Roberta Densa, pela sensibilidade de compreender a relevância dos artigos publicados neste segundo volume dedicado à temática da proteção de dados e suas implicações na vida contemporânea.

Trata-se, de fato, de um esforço acadêmico em que, a partir da confiança na conjugação de diversos saberes, intenta-se contribuir mais uma vez para o debate que se projeta como um dos mais elementares para a reafirmação dos corolários do Estado democrático de Direito, vez que se proporciona uma prognose e, como já se mencionou, apresenta algumas perspectivas de futuro em que os direitos humanos e fundamentais se confirmam como as ferramentas irrenunciáveis para a proteção multinível da pessoa humana, dentro e fora do mundo digital.

Porto Alegre, março de 2024.

Gabrielle Bezerra Sales Sarlet,

Manoel Gustavo Neubarth Trindade

Plínio Melgaré

1 Disponível em: https://www.unesco.org/pt/fieldoffice/brasilia/expertise/artificial-intelligence-brazil Acesso em: 21 nov. 2023; https://doi.org/10.1590/S1516-93322006000400003. Acesso em: 12 fev. 2024.↩

2 Disponível em: https://www.opanoptico.com.br/#mapa. Acesso em: 13 dez. 2023; Vide artigo 20 da LGPD https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 12 fev. 2024.↩

3 Disponível em: https://www.opanoptico.com.br/#mapa Acesso em: 13 dez. 2023; MAUES, Antonio Moreira. O desenho constitucional da desigualdade. São Paulo: Tirant lo Blanch, 2023, p. 30. ↩

DADOS PESSOAIS SENSÍVEIS E A TUTELA DE DIREITOS FUNDAMENTAIS: UMA ANÁLISE À LUZ DA LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS (LEI 13.709/2018)

¹

Caitlin Mulholland

Doutora e Mestre em Direito Civil pela Universidade do Estado do Rio de Janeiro. Professora associada de Direito Civil do Departamento de Direito da Pontifícia Universidade Católica do Rio de Janeiro (PUC-Rio), onde atualmente exerce o cargo de Diretora do Departamento de Direito. Professora do programa de pós-graduação em Direito Constitucional e Teoria do Estado da PUC-Rio. Coordenadora do Núcleo Legalite PUC-Rio. Autora dos livros A responsabilidade civil por presunção de causalidade e Internet e Contratação: panorama das relações contratuais eletrônicas de consumo. Atualizadora e colaboradora da obra Instituições de Direito Civil, volume III, de Caio Mário da Silva Pereira. Coordenadora dos livros: LGPD e novo marco normativo brasileiro e Inteligência Artificial e Direito: ética, regulação e responsabilidade. Membro da Comissão de Direito Civil da OAB, Seccional Rio de Janeiro. Membro da Comissão Especial de Proteção de Dados do Conselho Federal da Ordem dos Advogados do Brasil. Associada ao Instituto Brasileiro de Direito Civil – IBDCivil e à Association Henri Capitant des Amis de la Culture Juridique Française. Associada Fundadora do Instituto Avançado de Proteção de Dados (IAPD). Associada Fundadora do Instituto Brasileiro de Estudos em Responsabilidade Civil (IBERC).

Sumário: 1. Introdução: três casos exemplares – 2. A lei geral de proteção de dados pessoais brasileira: âmbito de aplicação e princípios – 3. Tratamento de dados pessoais sensíveis: conceito, restrições e tutela – 4. Os direitos fundamentais e sua aplicação ao direito privado: uma análise baseada no princípio da dignidade da pessoa humana – 5. Do direito à privacidade: proteção da intimidade desde o princípio the right to be let alone ao direito de controlar seus próprios dados – 6. A proteção constitucional dos dados sensíveis como exercício democrático de igualdade e não discriminação – Conclusão – Referências.

1. INTRODUÇÃO: TRÊS CASOS EXEMPLARES

Em 2016, uma prestadora de serviços de coleta e doação de sangue na Austrália, a Red Cross Blood Service, sofreu um duro golpe em seu sistema de segurança de dados, quando informações referentes a 550.000 doadores de sangue vieram a público devido à transferência de um arquivo contendo informações desses doadores a um ambiente computacional não seguro, acessível por pessoas sem a devida autorização para manejar aqueles dados. Os dados se referiam a coletas de sangue realizadas entre os anos de 2010 e 2016.

O fato, por si só, já seria grave, considerando a natureza pessoal dos dados que foram disponibilizados publicamente em site na Internet, quais sejam, nome, gênero, endereço e data de nascimento. Contudo, para trazer tons mais dramáticos à situação, dentre as informações contidas na base de dados, uma era especialmente sigilosa, qual seja, a que especificava que determinado doador seria pessoa com comportamento sexual de risco.² Essa categorização era determinada por meio de questionário do tipo verdadeiro-falso disponibilizado ao doador no momento da coleta de sangue, em que se perguntava se o mesmo havia participado de atividades sexuais de risco nos últimos 12 meses. Tanto as perguntas realizadas no questionário, como as respostas, compunham a base de dados e estabeleciam a conexão com o doador, individualizado por seu nome e pelas demais informações pessoais. A Red Cross pediu desculpas formais aos doadores e disponibilizou todo um aparato de atendimento às pessoas que tiveram seus dados violados.

Em 2017, num segundo caso, no Canadá, uma empresa de produtos sexuais, a Standard Innovation, disponibilizou no mercado de consumo um vibrador denominado We-Vibe 4 Plus que possuía uma característica incomum: o aparelho conectava-se por rede (bluetooth ou wi-fi) ao celular, por meio de um aplicativo, que permitia o seu acesso remoto. O usuário – ou seu/sua companheiro(a) – definia por meio do aplicativo preferências relacionadas ao ritmo e tipo da vibração. Contudo, descobriu-se que o aparelho enviava para os servidores da empresa os dados relacionados ao seu uso, inclusive no exato momento em que estava sendo utilizado. Os dados coletados continham informações sobre a temperatura corporal, o ritmo de vibrações, a intensidade das mesmas, tempo de uso, início e término do uso etc. Evidentemente, a justificativa da empresa para a coleta de tais dados era a de que com eles poderia melhorar o produto. No entanto, nem os termos de uso do produto ou do aplicativo indicavam a coleta dos dados, nem existia um sistema de segurança das informações adequado que permitisse a sua guarda eficiente. Os consumidores do vibrador ingressaram com uma ação coletiva contra a empresa, que foi levada a realizar um acordo no valor de US$2,9 milhões e obrigou-se a não mais coletar dados sigilosos de seus usuários.³

No terceiro caso, na China, em 2014, foi anunciado o que está sendo chamado de sistema de crédito social (social scoring). Por meio de tal sistema – mantido pelo Estado chinês– pretende-se verificar a fidelidade dos 1.3 bilhão de cidadãos chineses aos princípios e valores do Estado.⁴ Por esse sistema será possível categorizar e taxar os comportamentos dos cidadãos como positivos ou negativos (na visão do Estado), indicando uma classificação única e pública daquela pessoa, que servirá para determinar se um cidadão terá direito ao acesso a determinadas políticas públicas, que incluem desde a prestação de serviços médico-hospitalares até a indicação de escolas em que os filhos devem ser matriculados. De acordo com o documento público de planejamento do sistema de crédito social, tal proposta forjará um ambiente de opinião pública em que manter a confiança é gloriosa. Fortalecerá a sinceridade nos assuntos do governo, a sinceridade comercial, a sinceridade social e a construção da credibilidade judicial. Por enquanto, a participação do cidadão chinês em tal sistema é voluntária, mas ela será obrigatória para todos, inclusive para as pessoas jurídicas que tenham sede na China.

Apesar de cada um dos três casos apresentados se referirem a temas diversos – sexualidade, hábitos socioculturais e sistemas de controle social – o ponto comum é o tratamento e violação de dados sensíveis, isto é, a utilização ampla e não consentida por terceiros de dados pessoais que tenham características fortemente marcadas pela capacidade de seu uso discriminatório tanto pelo Estado, quanto pelo mercado. Tratam-se, portanto, de situações em que podem estar presentes potenciais violações de direitos fundamentais, dadas as características e a natureza desses dados sensíveis. Para a compreensão do conceito de dados sensíveis e a motivação de sua tutela, é importante investigar a Lei Geral de Proteção de Dados Pessoais brasileira, seus conceitos, princípios e seu âmbito de aplicação.

2. A LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS BRASILEIRA: ÂMBITO DE APLICAÇÃO E PRINCÍPIOS

A Lei Geral de Proteção de Dados Pessoais (LGPD – Lei 13.709/18) dispõe sobre tratamento de dados de pessoas naturais, tanto por meio físico, quanto por meio digital, reconhecendo a finalidade da tutela desses dados/informações para a proteção de direitos, como os da liberdade de expressão e de comunicação, privacidade, honra, imagem, autodeterminação informativa e livre desenvolvimento da personalidade (art. 2º, Lei 13.709/18). Ademais, a lei reconhece a efetivação e promoção de direitos humanos fundamentais como justificativa para a tutela dos dados pessoais (art. 2º, VII, Lei 13.709/18).

A lei protege situações que concernem exclusivamente a operações de tratamento de dados, isto é, aquelas que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração (art. 5º, X, Lei 13.709/18). Percebe-se pelo rol descritivo do que se entende por tratamento de dados, que inúmeras atividades que envolvem dados pessoais sofrerão a limitação e escrutínio da lei.

Há, contudo, algumas exceções relevantes à aplicação da LGPD, enumeradas taxativamente no artigo 4º, quais sejam: (i) tratamento por pessoas naturais para fins particulares e não econômicos; (ii) tratamento para fins exclusivamente jornalísticos, artísticos ou acadêmicos; (iii) tratamento para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais;⁵ e (iv) tratamento de dados provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto na LGPD.⁶

Em relação à hipótese prevista no item (iii), a LGPD faz remissão à necessidade de aprovação de legislação específica, que deverá prever medidas proporcionais e estritamente necessárias ao atendimento do interesse público, devendo ser respeitados o princípio do devido processo legal e os demais princípios previstos na LGPD. Espera-se que a legislação vindoura seja ainda mais rigorosa na proteção dos dados sensíveis das pessoas que a ela estarão sujeitas, considerando que o tratamento desses dados está relacionado em grande medida aos objetivos de proteção do próprio Estado e dos interesses públicos. Deve-se visar a um tratamento limitado desses dados, para evitar o seu eventual uso para propósitos que não atendam aos fundamentos republicanos do Estado Democrático de Direito.⁷

Em relação aos princípios aplicáveis ao tratamento de dados pessoais, a sua previsão é reconhecida no artigo 6º, da LGPD, com o objetivo de restringir a atividade de tratamento de dados pessoais, exigindo-se que haja o seu cumprimento para que seja reconhecida a licitude da atividade, a legitimando. São os seguintes princípios previstos na lei: finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação, responsabilização e prestação de contas.⁸ Dos princípios previstos, dois são de especial relevância quando do tratamento de dados sensíveis, quais sejam, o princípio da finalidade e o princípio da não discriminação.

Pelo princípio da finalidade, os dados devem ser tratados para determinados propósitos, que devem ser informados ao titular de dados previamente, de maneira explícita e sem que seja possível a sua utilização posterior para outra aplicação. Para Doneda, este princípio possui grande relevância prática: com base nele fundamenta-se a restrição da transferência de dados pessoais a terceiros, além do que é possível a estipulação de um critério para valorar a razoabilidade da utilização de determinados dados para uma certa finalidade (fora da qual haveria abusividade) (Doneda, 2005, p. 216). Ainda com base no princípio da finalidade, Maria Celina Bodin de Moraes, em apresentação à obra de Stefano Rodotà, entende que o tratamento de dados e especialmente a sua coleta não pode ser tomada como uma rede jogada ao mar para pescar qualquer peixe. Ao contrário, as razões de coleta, principalmente quando se tratarem de dados sensíveis, devem ser objetivas e limitadas (Rodotà, 2008, p. 9). A medida dessa objetividade e limitação será determinada justamente pela finalidade legítima do tratamento, que fica condicionada à comunicação preventiva ao interessado sobre como serão usadas as informações coletadas; e para algumas categorias de dados especialmente sensíveis estabelece que a única finalidade admissível é o interesse da pessoa considerada (Rodotà, 2008, p. 87).

Em relação ao princípio da não discriminação, fica vedada a utilização dos dados pessoais para fins discriminatórios ilícitos ou abusivos. O legislador, ao relacionar o uso discriminatório às qualidades de ilicitude e abusividade, parece reconhecer a possibilidade de tratamento distintivo, desde que lícito e não abusivo. Isto é, aparentemente, seria legítimo ao operador de dados realizar tratamentos de segregação, no sentido de diferenciação, sem que com isso leve a consequências excludentes que poderiam ser consideradas ilícitas. Assim, por exemplo, seria legítimo a um operador de dados que esteja realizando a precificação de um serviço de seguros de automóveis, tratar de maneira diferenciada os dados de mulheres entre 35 e 45 anos e mães, com a finalidade de oferecimento de um valor que reflita os riscos de danos usualmente ocasionados ou sofridos por esse grupo determinado de pessoas. Ou seja, há a possibilidade de tratamentos discriminatórios de dados, desde que não se caracterizem pela ilicitude ou abusividade, o que será determinado segundo critérios definidos tanto pelas regras expressas de direito civil⁹ e penal, quanto por princípios como o da boa-fé objetiva.¹⁰ O que se questiona é se esse tratamento segregado – desde que lícito e não abusivo – pode ser realizado também quando considerados os dados pessoais sensíveis, na medida em que eles possuem características personalíssimas, que devem ser tuteladas prioritariamente. Considerando que (…) coletar dados sensíveis e perfis sociais e individuais pode levar à discriminação; logo, a privacidade deve ser vista como a proteção de escolhas de vida contra qualquer forma de controle público e estigma social (L. M. Friedman), como a reivindicação dos limites que protegem o direito de cada indivíduo a não ser simplificado, objetivado, e avaliado fora de contexto (J. Rosen) (Rodotà, 2008, p. 12).

Necessário se faz, portanto, conceituar dados sensíveis e verificar as restrições impostas na lei para seu tratamento.

3. TRATAMENTO DE DADOS PESSOAIS SENSÍVEIS: CONCEITO, RESTRIÇÕES E TUTELA

Para fins de regulação das atividades de tratamento de dados, a Lei Geral de Proteção de Dados Pessoais (LGPD) categoriza e tutela de forma diferenciada os dados pessoais e os dados pessoais sensíveis. Para os fins da LGPD, dado pessoal é composto por informações relacionadas a pessoa natural identificada ou identificável (artigo 5º, I, Lei 13.709/18) e dado pessoal sensível se refere à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural (art. 5º, II, Lei 13.709/18).

Apesar dessa lei específica ter trazido um conceito ampliado de dados pessoais sensíveis, o seu tratamento jurídico já é conhecido da legislação brasileira desde a promulgação da Lei de Cadastro Positivo – Lei 12.414/11 – que em seu artigo 3º, parágrafo 3º, II, proíbe anotações em bancos de dados usados para análise de crédito de informações sensíveis, assim consideradas aquelas pertinentes à origem social e étnica, à saúde, à informação genética, à orientação sexual e às convicções políticas, religiosas e filosóficas. Significa dizer que para fins de análise de concessão de crédito – princípio da finalidade – estão vedadas inclusões nas bases de dados de quaisquer informações de natureza personalíssima e que não se relacione à finalidade almejada com a análise de crédito, com o objetivo de evitar o tratamento discriminatório – princípio da não discriminação.¹¹

Este princípio – não discriminação – é dos mais relevantes, no que diz respeito ao tratamento de dados sensíveis. É esse o ponto fundamental quando diante do uso de dados sensíveis potencialmente lesivo, em decorrência de sua capacidade discriminatória, seja por entes privados – i.e. fornecedoras de produtos e serviços – seja por entes públicos. Alguns casos emblemáticos expõem a enorme dificuldade que se enfrenta relativamente ao tratamento indevido desses dados sensíveis. Cohen relata alguns o tratamento inadequado de dados sensíveis que geram discriminação e segregação abusiva no âmbito das relações de consumo. Segundo a autora, consumer data can be used for many purposes to which consumers might not so blithely agree: employment decisions and classifications by health insurance providers that exclude or disadvantage genetic or medical have-nots; employment or housing decisions based on perceived personality risks; employment or housing decisions based on sexual or religious preferences; and so on (Cohen, 2000, p. 27). Em sentido semelhante, Rodotà sustenta que a formação de perfis baseados em dados pessoais sensíveis pode gerar discriminação (…) seja porque dados pessoais, aparentemente não sensíveis, podem se tornar sensíveis se contribuem para a elaboração de um perfil; seja porque a própria esfera individual pode ser prejudicada quando se pertence a um grupo do qual tenha sido traçado um perfil com conotações negativas (Rodotà, 2008, p. 56). Para o autor italiano, (…) para garantir plenitude à esfera pública, determinam-se rigorosas condições de circulação destas informações, que recebem um fortíssimo estatuto privado, que se manifesta sobretudo pela proibição de sua coleta por parte de determinados sujeitos (por exemplo, empregadores) e pela exclusão de legitimidade de certas formas de coleta e circulação (Rodotà, 2008, p. 64). A Lei Geral de Proteção de Dados Pessoais brasileira segue esta tendência, ao estabelecer limitações específicas para o tratamento de dados sensíveis.

Importa reconhecer que a referida lei recebeu uma forte influência do direito comunitário europeu, desde a Diretiva de Proteção de Dados de 1995 até o Regulamento Geral de Proteção de Dados da União Europeia (GDPR), em vigor a partir de maio de 2018. No que diz respeito ao tratamento de dados sensíveis, a LGPD conceituou de forma semelhante, senão idêntica, ao GDPR, o conceito de dados pessoais sensíveis, sendo certo que a lei brasileira é bastante inspirada no regulamento europeu. Em seu artigo 9(1) e (2), o GDPR estabelece um regime bastante estrito, proibindo, via de regra, o processamento desse tipo de dado pessoal. No entanto, excetua essa proibição em dez circunstâncias, que passam desde a proteção de interesses vitais do indivíduo até razões de substancial interesse público, sem, contudo, exemplificar ou especificar quais seriam essas hipóteses concretamente consideradas.

Como forma de proteger mais intensamente os titulares dos dados sensíveis, o GDPR qualificou de maneira mais restrita o consentimento do titular dos dados sensíveis, passando a exigir que, além de expresso, a manifestação consentida deve ser livre, explícita, inequívoca, informada e específica. Nos considerandos do GDPR, a explicação (51) estatui que merecem proteção específica os dados pessoais que sejam, pela sua natureza, especialmente sensíveis do ponto de vista dos direitos e liberdades fundamentais, dado que o contexto do tratamento desses dados poderá implicar riscos significativos para os direitos e liberdades fundamentais. Ademais, no comentário (71) do GDPR, fica consignado que (…) o responsável pelo tratamento deverá (…) proteger os dados pessoais de modo a que sejam tidos em conta os potenciais riscos para os interesses e direitos do titular dos dados e de forma a prevenir, por exemplo, efeitos discriminatórios contra pessoas singulares em razão da sua origem racial ou étnica, opinião política, religião ou convicções, filiação sindical, estado genético ou de saúde ou orientação sexual, ou a impedir que as medidas venham a ter tais efeitos.

De início, a LGPD adota uma forte fundamentação no consentimento do titular de dados para admitir o tratamento dos dados pessoais. Significa dizer que será permitido o tratamento de dados pessoais em havendo manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada (art. 5º, XII, Lei 13.709/18). Em complementação, a LGPD estabelece restrições importantes quando diante do tratamento de dados sensíveis, e em relação ao consentimento, estabelece a necessidade de que ele seja realizado de forma específica e destacada, para finalidades singulares também (artigo 11, I, LGPD). Assim, e de acordo com Rodotà, reconhece-se que o consentimento do titular de dados sensíveis deve ser qualificado, na medida em que estamos diante de um contratante vulnerável, caracterizado justamente pela ausência de liberdade substancial no momento da determinação da vontade (Rodotà, 2008, p. 90).

Contudo, a LGPD permite que haja tratamento de dados sensíveis sem a necessidade de fornecimento de consentimento do titular de dados, quando for indispensável para o tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos (artigo 11, II, b, LGPD), além de outras hipóteses que se referem, em grande medida, a interesses públicos. Nesse último caso, o consentimento do titular dos dados sensíveis, seja genérico, seja específico, ficaria dispensado em decorrência de uma ponderação de interesses realizada pela lei, aprioristicamente, que considera mais relevantes e preponderantes os interesses de natureza pública frente aos interesses do titular, ainda que estes tenham qualidade de direito fundamental. No entanto, críticas devem ser feitas a este posicionamento legislativo, especialmente se considerarmos que a proteção do conteúdo dos dados pessoais sensíveis é fundamental para o pleno exercício de direitos fundamentais, tais como os da igualdade, liberdade e privacidade.

4. OS DIREITOS FUNDAMENTAIS E SUA APLICAÇÃO AO DIREITO PRIVADO: UMA ANÁLISE BASEADA NO PRINCÍPIO DA DIGNIDADE DA PESSOA HUMANA

Os direitos fundamentais, previstos em nossa Constituição Federal de 1988, formam, conforme salienta Ingo Sarlet, um conjunto complexo e extremamente heterogêneo de posições jurídicas (Sarlet, 2008, p. 118), representados desde os direitos subjetivos de resistência ou oposição perante o Estado, até os direitos ao exercício democrático plural. Conforme ensinamentos de Konrad Hesse, os direitos fundamentais cumprem a função de criar e manter os pressupostos elementares de uma vida na liberdade e na dignidade humana (apud Bonavides, 2001, p. 514). Para Bonavides, a vinculação essencial dos direitos fundamentais à liberdade e à dignidade humana, enquanto valores históricos e filosóficos, nos conduzirá sem óbices ao significado de universalidade inerente a esses direitos como ideal da pessoa humana (Bonavides, 2001, p. 516).

O reconhecimento da dignidade humana, alçada constitucionalmente a fundamento do Estado Democrático de Direito, é hoje a base valorativa de sustentação de toda e qualquer situação jurídica de Direito Privado. A opção pela inclusão de tal princípio em artigo basilar da Constituição Federal é consequência de opção realizada abertamente pelo legislador constituinte pela promoção de uma sociedade solidária e justa, quer permita o livre desenvolvimento pessoal de seus cidadãos.(Mulholland, Pires, 2014, p. 14)

Este princípio possui duas acepções: uma no sentido de garantir a todas as pessoas um tratamento humano, não degradante, e, portanto, protetivo da integridade psicofísica de cada um; e outra, no sentido de realizar projetos e propostas que possibilitem a cada pessoa a concretização de sua humanidade, através de ações visíveis.

Tendo em vista esta caracterização da pessoa como um fim em si mesmo, toda e qualquer manifestação legislativa deve ter como finalidade a promoção do homem e de seus valores. E é nesta finalidade promocional que se encontra a maior dificuldade por parte do jurista. Se for possível dizer que a dignidade da pessoa humana, por se erigir como fundamento do Estado Democrático de Direito, deve alcançar todas as esferas do ordenamento jurídico – incluído aí os institutos de Direito Privado –, é também possível concluir que a limitação interpretativa do conteúdo deste valor constitucional será difícil de se alcançar. Nesta dificuldade se encontram as barreiras para a aplicação consciente do princípio da dignidade humana, pois "corre-se o risco da generalização, indicando-a como ratio jurídica de todo e qualquer direito fundamental (Bodin de Moraes, 2003, p. 54). Segundo Maria Celina Bodin de Moraes, levada ao extremo, essa postura hermenêutica acaba por atribuir ao princípio um grau de abstração tão intenso que torna impossível sua aplicação" (Bodin de Moraes, 2003, p. 84).

Para permitir a efetivação de tal princípio, o Direito Civil atua de forma protetiva. Ao caracterizar a pessoa e identificar as qualidades que a conformam concretamente, pretende-se buscar a tutela justa e equilibrada das relações privadas em que performa. Ao contrário da concepção de indivíduo, que em essência é formalmente igual, o conceito de pessoa projeta a necessidade de uma interpretação da norma jurídica que permita o tratamento desigual nas relações jurídicas em que atua, considerando a qualidade que desempenha nesta relação. (Mulholland, 2009, p. 67-68).

O princípio da dignidade da pessoa humana verifica-se por meio da efetivação dos princípios da liberdade, da igualdade, da integridade ou da solidariedade social. Refere-se o princípio a uma cláusula geral de tutela da pessoa, servindo como princípio prevalente no momento da concretização normativa e [n]a ponderação de princípios (Ruzyk, 2002, p. 131). Por esse raciocínio, sempre que estejam em discussão situações jurídicas de natureza existencial, estas prevalecerão sobre as de natureza patrimonial se caracterizada incompatibilidade entre elas (Mulholland, 2009, p. 69). A análise do princípio da dignidade da pessoa humana se realiza, portanto, e com razão, considerando-se sempre a plena tutela da pessoa, seja considerando aspectos relacionados à sua liberdade, seja à sua identidade e privacidade, como no caso dos dados pessoais.

Uma primeira análise da estrutura constitucional dos direitos fundamentais leva ao reconhecimento de que a proteção de dados pessoais – ainda que não prevista constitucionalmente – pode ser feito tanto da proteção à intimidade (art. 5º, X, CF), quanto do direito à informação (art.